Fri, Jul 11, 2003 at 11:16:47, ay wrote about "[uanog] bind Q":
Есть вот тазик. На нем стоит nserver. Создает аномальный траффик. За каким-то фигом разные zuka. постоянно спрашивают у него, как пройти на buka. , хотя ни zuka ни buka не имеют к тазику и его сетке никакого отношения. Есдь два вопроса : Один философский : откуда эти диверсанты узнали, что вааще есть такой ns, и с чего они решили, что спрашивать, как пройти на microsoft.com надо именно у меня :)
Если именно на microsoft.com - то на этом адресе сидел у кого-то NS. А вообще, смотри источник и пиши комплейны в соответствующую сеть. (Хотя ситуация бывает хитрее. Например, был как-то случай, когда шли запросы с IP, который раньше был у некоторой организации; они IP сменили, а на некоторых хостах остался старый.)
Второй - практический : а как бы это прописать, чтобы allow-query для всех, кроме trusted nets, было открыто только на запросы про сетку тазика, а прочие запросы про посторонние адреса тихо дропались и не дергали моих forwarders ?
Сделай allow-recursion только для своих. Остальные будут получать ответы, но в пределах знаний кэша твоего намеда и никого звать он не будет. В 9-м можно более тонко управлять. В поздних 8-х, кажется, тоже. -netch- =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message